Kiedy administrator musi spełnić obowiązek informacyjny zgodnie z art. 14 RODO?

Zgodnie z Rozporządzeniem unijnym o ochronie danych osobowych, administrator danych zobowiązany jest spełnić obowiązek informacyjny wobec osób, których dane przetwarza. W zależności od tego czy dane te zostały pozyskane bezpośrednio od osoby, której dotyczą, czy z innego źródła, klauzule informacyjne będą się różnić.

W przypadku kiedy administrator pozyskał dane osobowe nie bezpośrednio od osoby, lecz z innego źródła, zobowiązany jest przekazać następujące informacje o przetwarzaniu jej danych osobowych zgodnie z art. 14 RODO:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela – jeśli administrator ma swoją siedzibę poza UE może wyznaczyć podmiot mający siedzibę w UE, który będzie go reprezentował w zakresie obowiązków wynikających z RODO;
  • dane kontaktowe inspektora ochrony danych – jeśli administrator będzie zobowiązany wyznaczyć IOD;
  • cele przetwarzania oraz podstawę prawną przetwarzania;
  • informację o rodzaju danych, jakie administrator przetwarza o osobie, np. imię, nazwisko, adres zamieszkania, PESEL itp.;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją –należy wskazać konkretne podmioty, którym administrator udostępnia dane lub kategorie podmiotów, np. firmy kurierskie, firmy świadczące usługi opieki medycznej;
  • informacje o zamiarze przekazania danych osobowych odbiorcy do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony, a także informację o wdrożonych przez administratora odpowiednich zabezpieczeniach i o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych odbiorcy;
  • informację przez jaki czas dane te będą przez administratora przechowywane;
  • informację o przetwarzaniu danych na podstawie prawnie uzasadnionego interesu administratora, jeżeli przetwarzanie odbywa się na tej podstawie;
  • informacje o prawach podmiotów danych – prawo dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz prawo wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych;
  • informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność
    z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeśli dane przetwarzane są na podstawie zgody;
  • informację o prawie wniesienia skargi do organu nadzorczego;
  • informację z jakiego źródła administrator pozyskał dane osoby – należy wskazać konkretne podmioty lub publicznie dostępne rejestry z których administrator pozyskał dane, np. CEiDG);
  • informację o podejmowaniu przez administratora zautomatyzowanych decyzji wobec osoby, której dane przetwarza – należy wskazać zasady podejmowania tych decyzji oraz znaczenie
    i konsekwencje takiego przetwarzania dla osoby;
  • informację o stosowaniu profilowania wobec osób, których dane przetwarza.

 

Wszystkie te informacje administrator zobowiązany jest przekazać osobie, której dane przetwarza, najpóźniej w ciągu miesiąca od pozyskania jej danych lub przy pierwszej komunikacji z nią, jeśli dane te mają być wykorzystywane do komunikacji z tą osobą.

W art. 14. ust. 5 RODO przewiduje jednak kilka wyjątków, które zwalniają administratora od spełnienia powyższego obowiązku. Są to następujące sytuacje:

  • osoba, której dane dotyczą, dysponuje już tymi informacjami – administrator poinformował już osobę o przetwarzaniu jej danych i nie ma konieczności, aby robił to ponownie;
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
    W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa
    i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
  • prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator, regulują kwestie informowania osób, których dane są przetwarzane;
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Absurdy RODO – wybrane przypadki

Jesteśmy po pierwszej rocznicy stosowania przepisów RODO, a zatem jest to dobry czas na różnego rodzaju podsumowania. W niniejszym artykule przedstawię kilka praktyk w stosowaniu przepisów RODO, które można określić pojęciem „absurdów RODO”.

 

Zdecydowanie najczęściej spotykanymi absurdami są te dotyczące klauzul informacyjnych. RODO w artykułach 13. oraz 14. nakłada na administratorów danych osobowych obowiązek informowania podmiotów danych o wielu kwestiach związanych z przetwarzaniem ich danych. Nie ma wątpliwości, że w porównaniu do poprzedniego stanu prawnego treść tych obowiązków uległa znacznemu rozszerzeniu. Jako wymagane pojawiły się takie informacje jak dane kontaktowe Inspektora Ochrony Danych, podstawy prawne przetwarzania danych osobowych, czy informacje o czasie przechowywania danych. Dokładając do tego potencjalną karę w wysokości do 20 mln euro (lub 4% rocznego globalnego obrotu organizacji w zeszłym roku) mamy gotowy przepis na absurdalne podejście do spełnienia tego obowiązku.

W sposobie prezentowania treści obowiązków informacyjnych najlepiej daje się zauważyć wypaczenie sensu i ducha RODO. Klauzule są często bardzo rozbudowane, zajmują nawet kilka stron formatu A4. Wynika to np. z cytowania pełnych odwołań do przepisów RODO lub innych ustaw, na które powołuje się administrator – nagminnie wskazywana jest pełna nazwa RODO (a krótka ona nie jest) lub nazwy ustaw wraz z pozycjami z Dziennika Ustaw, w którym ustawa została opublikowana. Ponadto, klauzule często pisane są bardzo oficjalnym językiem prawniczym, który powszechnie uznawany jest za niezrozumiały. Wydaje się zatem, że osoby wdrażające nowe treści klauzul informacyjnych zapominają, że przed art. 13. i 14. RODO znajduje się art. 12., który zobowiązuje administratora do przedstawiania treści informacyjnych „…w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.”

Absurdy pojawiają się również przy decydowaniu o tym, komu klauzula informacyjna ma być prezentowana. Zdarza się, że firmy chcą spełniać obowiązek informacyjny do prezesa spółki kontrahenta lub innych osób reprezentujących spółkę podczas negocjowania umów. Nierzadko spotyka się również klauzule przeznaczone dla handlowców kontrahenta, których dane znajdują się na wizytówkach. Powodem takich absurdalnych pomysłów może być interpretowanie przepisów RODO wyłącznie literalnie (np. definicja „osoby, której dane dotyczą”) i pomijanie kontekstu pozyskiwanych danych oraz roli jaką dana osoba pełni w organizacji. Z pomocą może przyjść w tym przypadku koncepcja tzw. danych służbowych, którą przybliżyliśmy na łamach RodoRadar’u (link: https://rodoradar.pl/przetwarzanie-sluzbowych-danych-osobowych/).

Nieproporcjonalnie ostrożnościowe podejście do RODO przejawia się również przy zawieraniu umów powierzenia przetwarzania danych osobowych. Celem tego rodzaju umów jest uregulowanie odpowiedzialności podmiotu przetwarzającego względem administratora, ale ich zastosowanie ma miejsce tylko w przypadku gdy podmiot przetwarzający przetwarza dane osobowe „w imieniu” administratora. Jest to kluczowy aspekt w trakcie ocenienia, czy w danym procesie powierzenie przetwarzania danych osobowych w ogóle ma miejsce.

Absurd w tym obszarze polega na powierzaniu danych kontaktowych osób, które podpisują z ramienia kontrahentów dwustronne umowy, ponieważ trudno wskazać jakiego rodzaju czynności na tych danych miałyby być wykonywane w imieniu drugiego kontrahenta. Podobne problemy praktyczne powoduje podpisywanie umów powierzenia z dostawcami, których usługi nie dotyczą przetwarzania danych osobowych. Przykładem może być współpraca z serwisem sprzątającym lub hydraulicznym. Tego rodzaju dostawca nie wykonuje czynności na danych osobowych, ale administratorzy nalegają na podpisanie z nim umowy powierzenia, ponieważ osoby sprzątające mogą przebywać w obszarze przetwarzania danych osobowych. Wydaje się to zdecydowanie nadmiarowe i może rodzić więcej problemów w praktyce, niż spokój oparty na złudnym przekonaniu o zabezpieczeniu interesów administratora.

RODO jest aktem prawnym, którego interpretowanie wyłącznie literalnie prowadzi do absurdalnych wniosków i niewdrażalnych rekomendacji. Takie podejście prowadzi do ośmieszenia reformy RODO (czego przykłady można napotkać w mediach regularnie) oraz wzrostu kosztów dostosowania firm do regulacji. Naszym klientom zawsze zalecamy stosowanie podejścia zdroworozsądkowego i patrzenia na przepisy RODO przez pryzmat praw podmiotów danych i ogólnego sensu reformy, a nie wyłącznie jako przykrego obowiązku administracyjnego.

RODO o monitoringu w szkołach

Specyfika szkoły jako instytucji edukacyjnej wymusza przetwarzanie przez nią danych osobowych dużej ilości osób, najczęściej dzieci. Osoby małoletnie, zgodnie z postanowieniami RODO, objęte są szczególną ochroną ze względu na ich „mniejszą świadomość ryzyka konsekwencji zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych” (motyw 38 RODO). Na szkole, jako administratorze danych, ciąży więc obowiązek szczególnej dbałości o zapewnienie odpowiednich wymogów przetwarzania danych.

Monitoring wizyjny ze względu na ryzyko poważnej ingerencji w prywatność osób, których dane są przetwarzane, powinien być traktowany przez administratora ze szczególną uwagą. W tym aspekcie dużą pomoc dla dyrektorów szkół lub placówek edukacyjnych stanowią znowelizowane przepisy ustawy z dnia 14 grudnia 2016r. Prawo oświatowe, które wprost wskazują wymagania dotyczące prowadzenia monitoringu.

Zgodnie z art. 108a ww. ustawy, wprowadzenie systemu monitorującego przestrzeń wewnątrz szkoły lub teren ją okalający jest możliwe, gdy jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników. Nie powinno się natomiast wykorzystywać monitoringu w charakterze środka nadzoru nad pracownikami.

Decyzję o instalacji systemu podejmuje dyrektor placówki, po uzgodnieniu tego z organem zarządzającym szkołą oraz konsultacji z radą pedagogiczną, radą rodziców oraz samorządem uczniowskim.

Co do zasady, zabronione jest monitorowanie pomieszczeń, w których prowadzone są zajęcia lub udzielana jest pomoc psychologiczno-pedagogiczna, a także pomieszczeń socjalnych, sanitarnych, gabinetów profilaktyki zdrowotnej, szatni oraz przebieralni. Instalacja systemu w wymienionych przestrzeniach jest dopuszczalna jedynie w szczególnych okolicznościach przy zagwarantowaniu, iż nie naruszy to godności oraz dóbr osobistych monitorowanych osób, np. poprzez uniemożliwienie rozpoznania przebywających tam osób.

Dyrektor szkoły powinien zadbać aby nagrania z monitoringu zostały usunięte w okresie do 3 miesięcy od dnia nagrania, a także powinien zapewnić, że będą one przetwarzane wyłącznie w celu zapewnienia bezpieczeństwa osób i ochrony mienia.

 

O monitoringu należy powiadomić wszelkie osoby przebywające na terenie placówki. Zgodnie z ustawą dyrektor ma obowiązek:

– poinformowania uczniów i pracowników szkoły o zamiarze wprowadzenia monitoringu najpóźniej 14 dni przed jego uruchomieniem,

– poinformowania na piśmie osób rozpoczynających pracę o prowadzeniu monitoringu przed dopuszczeniem ich do wykonywania obowiązków służbowych,

– oznaczenia pomieszczeń i terenu podlegających monitorowaniu w sposób jasny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych.

Jak w każdym przypadku przetwarzania danych, tak przy monitoringu w szkołach, na administratorze danych ciąży obowiązek zapewnienia odpowiednich środków technicznych i organizacyjnych w celu zabezpieczenia danych osobowych podlegających przetwarzaniu.

 

RODOdiagnoza – rok po wdrożeniu RODO

Już jutro, 25 maja 2019r. mija rok stosowania RODO.  Jak przy okazji każdej rocznicy, zaczynają się podsumowania – ile skarg wpłynęło do UODO, ile naruszeń zostało zgłoszonych, ile kar w tym czasie zostało nałożonych przez organ nadzorczy (podpowiadam – do czasu napisania artykułu – dwie).

 

Na pewno jest to rok, w którym podniosła się świadomość w zakresie ochrony danych osobowych zarówno wśród  konsumentów jak i organizacji zajmujących się przetwarzaniem danych osobowych – i na tych ostatnich skupię swoją uwagę.

Organizacja przetwarzająca dane osobowe – niezależnie czy jest administratorem czy podmiotem przetwarzającym – zobowiązana jest to nie tylko do wdrożenia RODO,  ale również do utrzymania zgodności z RODO.

Samo wdrożenie polityk, procedur, nadanie upoważnień pracownikom i ich przeszkolenie, jak również  zawarcie umów powierzenia danych i przygotowanie obowiązków informacyjnych (nie zawsze pisanych językiem jasnym, zwięzłym i zrozumiałym) – nie oznacza, że podmiot może uznać, że RODO działa w jego organizacji bez zarzutu. Tak na prawdę to dopiero początek. Utrzymanie zgodności z RODO jest procesem ciągłym, trwającym tak długo  jak dany podmiot przetwarza dane osobowe – czyli praktycznie przez cały okres jego istnienia, a w dodatku jest procesem dynamicznym, który w zależności od okoliczności, musi uwzględniać różne zmienne.

Poniżej wskazane zostały działania, których podejmowanie zapewni administratorowi/podmiotowi przetwarzającemu bycie „zgodnym z RODO”.

1. Podnoszenie świadomości wśród pracowników z zakresu danych osobowych.

Interpretacja przepisów RODO często sprawia trudność osobom profesjonalnie zajmującym się tematyką danych osobowych. Tym bardziej pracownicy, którzy przy wykonywaniu swoich obowiązków mają dostęp do danych,  nie zawsze posiadają odpowiednią wiedzę jak  przetwarzać je bezpiecznie. Obowiązkiem pracodawcy jest stałe podnoszenie wiedzy pracowników w tym zakresie – zarówno poprzez okresowe szkolenia jak i możliwość kontaktu z IOD lub inną osobą odpowiedzialną za ochronę danych osobowych u pracodawcy – w celu wyjaśnienia ewentualnych wątpliwości związanych z przetwarzaniem danych. Pracownicy muszą znać zasady bezpieczeństwa przetwarzania. Należy pamiętać, że to pracownik może być najsłabszym elementem systemu bezpieczeństwa przetwarzania danych (jeżeli jest źle przeszkolony), ale też jest pierwszym ogniwem w organizacji, który ma bezpośredni dostęp do danych. Świadomy pracownik może okazać się zatem pierwszą zaporą przed nieuprawnionym dostępem do danych  osobowych.

2. Okresowa analiza ryzyka.

RODO nie wprowadza  listy środków bezpieczeństwa, których wdrożenie zapewnia bezpieczne i zgodne z prawem przetwarzanie danych. Dlatego niezbędne jest okresowe przeprowadzanie analizy ryzyka, która uwzględnia nowe elementy mające wpływ na poziom ryzyka dla praw i wolności podmiotów danych. Jeżeli wynik analizy wykaże, że ryzyko to jest wysokie, wówczas należy wykonać pogłębioną analizę – tzw. ocenę skutków dla ochrony danych. Jak wskazała Grupa Robocza Art. 29 w Wytycznych dot.  oceny skutków dla ochrony danych – przeprowadzenie tej oceny jest procesem ciągłym, a nie jednorazowym, o czym organizacja powinna pamiętać.

3. Privacy by design.

Ochrona prywatności w fazie projektowania systemów, aplikacji, procedur, metod badań  oznacza, że środki bezpieczeństwa danych osobowych powinny być uwzględniane już od samego początku tworzenia rozwiązania, a nie dostosowane do gotowego już  „produktu”. Efekty projektowania prywatności powinny rozciągać się na cały okres przetwarzania danych. Mając na uwadze, że procedura privacy by desing dotyczy również modyfikacji dotychczasowych rozwiązań  – jest to kolejny element ochrony danych osobowych w organizacji, który potwierdza, że proces utrzymania zgodności z RODO jest procesem ciągłym i nie jest wystarczające przeprowadzenie tej operacji jednorazowo.

 

Jeżeli są Państwo zainteresowani sprawdzeniem, czy utrzymujecie zgodność z RODO – zapraszamy do wypełnienia ankiety.

Wypełnij ankietę!

Kara PUODO dla związku sportowego

Prezes Urzędu Ochrony Danych Osobowych nałożył kolejną karę finansową na administratora przetwarzającego dane osobowe niezgodnie z RODO. W tym przypadku naruszenie dotyczyło bezpodstawnej publikacji danych, a ukaranym podmiotem został związek sportowy (nieujawniony).

Z decyzji PUODO wydanej 25 kwietnia 2019 roku wynika, że naruszenie bezpieczeństwa danych osobowych polegało na ujawnieniu danych osobowych sędziów, którzy uzyskali w 2015 roku licencje na prowadzenie zawodów sportowych. Związek opublikował dane 585 osób, ale można się domyślać, że sama liczba poszkodowanych nie była przesądzająca. Istotą naruszenia był katalog opublikowanych danych, w którym znalazły się imiona, nazwiska, numery PESEL oraz adresy zamieszkania.

Publikacja danych miała miejsce na stronach internetowych związku i interesujący jest fakt, że dane były dostępne przez blisko trzy lata – od października 2015 roku do lipca 2018 roku. Jednocześnie dowiadujemy się, że przyczyną publikacji były „wewnętrzne działania niezamierzone”, co jest zastanawiające biorąc pod uwagę długi okres trwania naruszenia. Związek zidentyfikował incydent, poinformował osoby, których dane zostały ujawnione oraz zgłosił ten fakt Prezesowi UODO. Skargę złożył też jeden z sędziów, dotkniętych naruszeniem.

Warto zwrócić uwagę na dwa elementy decyzji Prezesa UODO, które miały wpływ na zasądzenie i wysokość kary. Po pierwsze, zakres opublikowanych danych, który w ocenie Prezesa nie był uzasadniony powodami faktycznymi (przyznał również, że opublikowanie wyłącznie imion, nazwisk i miejscowości byłoby wystarczające z punktu widzenia celów administratora) oraz fakt, że ujawniony zestaw danych mógł posłużyć „do zawierania stosunków prawnych lub zaciągania zobowiązań w imieniu osób, których dane ujawniono, bez ich wiedzy, a także do rozporządzania ich prawami.

Po drugie, działania związku w celu usunięcia naruszenia okazały się powierzchowne i niewystarczające. Po stwierdzeniu incydentu związek skontaktował się z firmą informatyczną obsługującą stronę internetową i nakazał usunięcie danych, ale jak się później okazało nie sprawdzono czy faktycznie zostało to prawidłowo wykonane. W efekcie, w styczniu 2019 kontrolerzy PUODO bez większego wysiłku znaleźli dane osobowe sędziów w Internecie.

Prezes UODO wydając decyzję wziął pod uwagę dobrą współpracę administratora w trakcie trwania postępowania, usunięcie naruszenia w trakcie postępowania oraz brak dowodów na istnienie szkód dla osób, których dane zostały ujawnione i nałożył 13.000 euro kary (55 750,50 zł).

 

Źródło: https://uodo.gov.pl/decyzje/ZSPR.440.43.2019

Europejska Rada Ochrony Danych

Europejska Rada Ochrony Danych została utworzona na mocy art. 68 Rozporządzenia o ochronie danych osobowych (RODO). Jest to niezależny organ unijny, który posiada osobowość prawną i reprezentowany jest przez przewodniczącego. Pod jego kierunkiem działa sekretariat, który zapewnia EROD wsparcie analityczne, administracyjne i logistyczne. Celem Rady jest zapewnienie, aby przepisy RODO były spójnie i jednolite we wszystkich krajach Unii Europejskiej oraz zapewnienie współpracy organów nadzorczych.

EROD zastąpiła Grupę Roboczą art. 29. W skład Rady wchodzą przewodniczący organu nadzorczego każdego państwa członkowskiego oraz Europejski Inspektor Ochrony Danych lub ich przedstawiciele. W pracach EROD może uczestniczyć także przedstawiciel Komisji, jednak nie ma prawa głosu.

Pełny wykaz zadań EROD został wskazany w art. 70 RODO, a należą do nich m.in.:

  • monitorowanie i zapewnienie właściwego stosowania RODO;
  • wydawanie wytycznych, zaleceń i określenie najlepszych praktyk w celu wyjaśnienia przepisów dotyczących ochrony danych osobowych;
  • doradzanie Komisji Europejskiej w kwestiach związanych z ochroną danych osobowych w Unii, w tym w kwestii proponowanych zmian do rozporządzenia;
  • wydawanie spójnych opinii w kwestii transgranicznego przetwarzania danych osobowych;
  • nadzorowanie i promowanie współpracy organów nadzorczych.

Ponadto Rada zachęca do sporządzania kodeksów postępowania oraz do ustanawiania mechanizmów certyfikacji w dziedzinie ochrony danych oraz znaków jakości i oznaczeń w tej dziedzinie zgodnie z art. 40 i 42 oraz akredytuje podmioty certyfikujące i dokonuje okresowego przeglądu certyfikacji zgodnie z art. 43 oraz prowadzi publiczny rejestr podmiotów akredytowanych zgodnie z art. 43 ust. 6 i administratorów i podmiotów przetwarzających akredytowanych zgodnie z art. 42 ust. 7, mających siedzibę w państwach trzecich.

W celu wykonania powyższych zadań EROD działa w sposób niezależny i bezstronny.

Zgodnie z art. 71 RODO Rada zobowiązana jest do przygotowania rocznego sprawozdania dotyczącego przetwarzania danych w Unii, a w stosowanych przypadkach może ono obejmować także przetwarzanie danych w państwach trzecich i organizacjach międzynarodowych. Sprawozdanie to podane jest do publicznej wiadomości oraz przekazane Parlamentowi Europejskiemu, Radzie UE oraz Komisji Europejskiej.

Należy podkreślić opiniodawczą rolę EROD, która kontynuuje prace Grupy Roboczej Artykułu 29. Wydawane przez nią wytyczne czy zalecenia stanowią istotne źródło wiedzy dla administratorów danych jak w praktyce stosować przepisy ogólnego rozporządzenia o ochronie danych osobowych.

 

Jednoinstancyjność postępowania przed Prezesem UODO w sprawie naruszenia przepisów o ochronie danych osobowych

Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (zwana dalej „ustawą”) reguluje kwestie postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.

Zgodnie z art. 60 ustawy postępowanie w sprawie naruszenia przepisów ochrony danych osobowych, jest prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Należy zwrócić uwagę na to, że postępowanie przed PUODO jest jednoinstancyjne.

Warto zauważyć, że w polskim porządku prawnym, zasada dwuinstancyjności postępowania administracyjnego wynika wprost z art. 78 Konstytucji RP oraz art. 15 Kodeksu Postępowania Administracyjnego. Zasada ta oznacza, że w przypadku wydania przez organ administracji publicznej niekorzystnej dla podmiotu decyzji, może on się od wydanej decyzji odwołać do organu wyższej instancji – zgodnie z hierarchią administracyjną. Jednak nie w przypadku Urzędu Ochrony Danych. Wobec wydanej przez Prezesa UODO decyzji nie ma możliwości odwołania w ramach procedury administracyjnej. Wyłączona jest tym samym możliwość uchylenia, czy zmiany takiej decyzji przez organ administracyjny wyższego stopnia.

Podmiotowi będącemu stroną postępowania, pozostaje jedynie możliwość zwrócenia się na drogę sądową, poprzez złożenie skargi do Wojewódzkiego Sądu Administracyjnego. W sytuacji niekorzystnego dla strony wyroku,  ostateczną możliwość stanowi złożenie skargi kasacyjnej do Naczelnego Sądu Administracyjnego.

Według art. 62 ustawy, PUODO zawiadamia strony o niezałatwieniu sprawy w terminie, oraz ma obowiązek poinformowania o stanie sprawy i przeprowadzonych w jej toku czynnościach. Ponadto warto zaznaczyć, że PUODO w związku z prowadzonym postępowaniem, ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej.

Przepisy dotyczące postępowania wskazują także, że w przypadku gdy strona zostanie skutecznie wezwana do osobistego stawiennictwa i nie stawi się pomimo tego wezwania, UODO może wymierzyć wobec niej karę grzywny w wysokości od 500 zł do 5000 zł!

W przypadku natomiast, gdy w toku postępowania przed Prezesem Urzędu Ochrony Danych Osobowych zostanie uprawdopodobnione, że przetwarzanie danych osobowych przez administratora będącego stroną postępowania, narusza przepisy o ochronie danych osobowych, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki, PUODO w celu zapobieżenia tym skutkom, może w drodze postanowienia, zobowiązać podmiot, któremu jest zarzucane naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych, wskazując dopuszczalny zakres tego przetwarzania. Od decyzji tej, nie przysługuje odwołanie.

PUODO określa też termin obowiązywania ograniczenia przetwarzania danych osobowych, przy czym jest on nie dłuższy niż do dnia wydania decyzji kończącej postępowanie w sprawie.

Pseudonimizacja danych

Zgodnie z artykułem 32 RODO, administrator i podmiot przetwarzający dane osobowe wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający występującemu ryzyku, w tym między innymi pseudonimizację i szyfrowanie danych osobowych.

Technikami, które pozwalają na utrzymywanie korzyści z posiadania danych oraz minimalizują ryzyko w związku z utratą prywatności, jest anonimizacja lub pseudonimizacja. Mimo wykorzystania zaawansowanych algorytmów, stworzenie prawdziwie anonimowego zbioru danych przy jednoczesnym zachowaniu użyteczności informacji, nie jest prostą operacją. Istnieje ryzyko, że zbiór danych uznany za anonimowy może być połączony z innym zbiorem danych w taki sposób, że możliwe będzie zidentyfikowanie jednej lub więcej osób.

Wyróżnia się dwie główne techniki depersonalizacji danych osobowych. Jest to anonimizacja oraz pseudonimizacja. Największa różnica między nimi polega na tym, że pseudonimizacja jest procesem odwracalnym, a anonimizacja już nie.

 

Rysunek 1. Techniki depersonalizacji danych

Źródło: Opracowanie własne.

 

Pseudonimizacja jest to odwracalny proces, polegający na zastąpieniu danej rzeczywistej nazwą przybraną, czyli nadanie jej tak zwanego pseudonimu. Pseudonimizacja utrudnia identyfikację, natomiast umożliwia przypisanie różnych czynności tej samej osobie (bez znajomości jej danych osobowych) oraz łączenie rożnych zbiorów danych między sobą. Pseudonimizacja skutecznie podwyższa bezpieczeństwo przetwarzania danych, ale nie jest równoznaczna anonimizacji w związku z czym, dane poddane pseudonimizacji dalej podlegają pełnej ochronie.

Poniższy rysunek prezentuje podział pseudonimizacji na pięć głównych kategorii.

 

Rysunek 2. Podział technik pseudonimizacji

Źródło: Opracowanie własne.

 

Najczęściej stosowanymi technikami pseudonimizacji są:

  • Szyfrowanie za pomocą tajnego klucza – dane osobowe są nadal przechowywane w zbiorze danych, ale w formie zaszyfrowanej. Posiadanie klucza szyfrującego pozwala na pełen dostęp do danych osobowych. Używając szyfrowania, które zachowuje aktualne standardy bezpieczeństwa, możliwość odszyfrowania danych jest możliwa, ale tylko z użyciem klucza szyfrującego;
  • Funkcje skrótu – polega na skróceniu dowolnego ciągu znaków do wyrażenia o stałej, określonej długości (dowolnej informacji przydzielany jest unikalny identyfikator). Funkcji tej nie można odwrócić, tak jak w przypadku szyfrowania. Jakkolwiek, znając zakres wartości, jakie zostały poddane skracaniu oraz w jaki sposób zostało ono wykonane, możliwe jest odtworzenie funkcji skrótu i uzyskanie prawidłowego zapisu poprzez tzw. atak siłowy (wypróbowanie wszystkich możliwych kombinacji w celu utworzenia tabel korelacji). Funkcje skrótu można podzielić ze względu na wielkości bloku wyjściowego (ilość bitów). Obecne zalecenia amerykańskiej agencji NIST[1] dotyczące stosowania poszczególnych funkcji skrótu mówią, że do nowych aplikacji zalecane są funkcje skrótu z rodziny SHA-2[2], a w przyszłości funkcja SHA-3[3].
  • Do niedawna stosowane były funkcje skrótu MD5[4] oraz SHA-1[5], zostały on jednak wycofane ze względu na niewystarczający poziom bezpieczeństwa.
  • Tokenizacja – polega na wykorzystaniu jednokierunkowych mechanizmów szyfrujących opartych na przypisaniu identyfikatora (indeksu, sekwencji lub losowo wygenerowanej liczby) w żaden sposób niezwiązanej z pierwotnymi danymi. Technika ta jest często spotykana w sektorze finansowym do autoryzacji operacji bankowych.

 

Administratorzy danych osobowych przy doborze technik depersonalizacji powinni kierować się wynikiem analizy ryzyka, a także posiłkować się dostępnymi wskazówkami (Grupa Robocza Art. 29, Wytyczne dotyczące oceny skutków dla ochrony danych oraz ustalenia czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”) dobrymi praktykami i normami, jak np. norma ISO/IEC 29134:2017 (Information technology – Security techniques – Guidelines for privacy impact assessment). Warto także wykorzystywać dostępne narzędzia informatyczne (np. http://arx.deidentifier.org/) pozwalające na wykonanie anonimizacji za pomocą rożnych technik oraz ocenę ryzyka naruszenia prywatności zanonimizowanego zbioru.

 

Techniki depersonalizacji danych posiadają zróżnicowany stopień odporności na czynniki ryzyka.  Wyróżnia się trzy główne ryzyka zagrażające prywatności:

  • Wyodrębnienie: jest to możliwość wyizolowania niektórych lub wszystkich rekordów, które identyfikują daną osobę w zbiorze danych.
  • Tworzenie powiązań: jest to możliwość powiązania co najmniej dwóch rekordów dotyczących tego samego podmiotu danych (w tej samej bazie danych lub w dwóch różnych bazach danych).
  • Wnioskowanie: pozwala z dużym prawdopodobieństwem wydedukować wartość atrybutu z wartości zbioru innych atrybutów.

 

Ryzykiem związanym z możliwością naruszenia danych osobowych, jest możliwość identyfikacji osoby, której dane dotyczą, dla zbiorów danych zanonimizowanych – z uwagi na zbyt powierzchowną ich anonimizację lub pseudonimizację.

Ryzyko to związane jest z możliwością dokonania przez użytkowników postronnych identyfikacji danych konkretnej osoby, które w ocenie administratora zostały w pełni zanonimizowane bądź zagregowane. Problem ten dotyczy w szczególności danych statystycznych, które w wyniku zbyt dużej szczegółowości oraz w połączeniu ze zbyt małą próbą (np. dotyczącą jednej instytucji, wspólnoty ludzkiej itp.) cechuje podatność, że osoby wchodzące w skład danej wspólnoty mogą przy pomocy powszechnie znanych im informacji o jej członkach, dokonać odkodowania anonimowych informacji. Ponadto, ryzyko identyfikacji danych może nastąpić także poprzez połączenie zanonimizowanego zbioru danych z innymi zbiorami, co w konsekwencji także pozwala na odkodowanie anonimowych informacji. W efekcie może to prowadzić do naruszenia praw osoby, której dane dotyczą.


[1] National Institute of Standards and Technology

[2] SHA-2 składa się z zestawu czterech funkcji dających skróty wielkości 224, 256, 384 lub 512 bitów

[3] SHA-3 funkcja oparta o Algorytm Keccak charakteryzuje się wyższą wydajnością niż SHA-2 zarówno w implementacjach sprzętowych jak i programowych

[4] MD5 – generuje z ciągu danych o dowolnej długości128-bitowy skrót

[5] SHA-1 tworzą 160-bitowy skrót z wiadomości o maksymalnym rozmiarze 264 bitów i jest oparty na podobnych zasadach co MD5

Realizacja praw podmiotów danych w praktyce – część III

Elektroniczny rejestr zgód

Realizacja żądań podmiotów może być wspierana przez elektroniczny rejestr zgód. Jest to rozwiązanie, które mogą brać pod rozwagę administratorzy posiadający wiele baz, które się nie synchronizują (np. wiele niezależnych portali internetowych), czy też wiele kanałów zbierania zgód (np. kilka stron www, bezpośredni kontakt z handlowcem, checkbox umieszczony w umowie).

Elektroniczne rejestry zgód najczęściej stosowane są w celu zarządzania zgodami na działania marketingowe, udzielanymi przez konsumentów. Jednak zdarzają się organizacje, które wykorzystują tego typu narzędzia do zarządzania zgodami wszystkich kategorii podmiotów danych np. klientów, pracowników. Na rynku dostępnych jest kilka gotowych systemów informatycznych, w tym moduły zaimplementowane w rozwiązaniach CRM-owych. Firmy wykorzystują w tym celu również listy Sharepoint’owe lub tworzą taki rejestr jako niezależny system.

Jakie informacje powinny znaleźć się w elektronicznym rejestrze zgód? Przede wszystkim informacja kto udzielił zgody i czego dotyczy zgoda (np. zgoda na wysyłanie komunikacji marketingowej e-mailem, zgoda na wysłanie komunikacji marketingowej SMS-em, zgoda na wykorzystanie wizerunku w social mediach). Konieczne jest odnotowanie daty udzielenia zgody i kanału jakim zgoda została wyrażona (np. za pomocą strony internetowej xyz.pl, wypełnienie ankiety podczas konferencji, ….). Jeśli stosujemy zbieranie zgód za pomocą dokumentacji papierowej, system może służyć jako repozytorium skanów udzielonych zgód.

Warto, aby system zawierał repozytorium wersji stosowanych przez administratora treści zgód i wskazywał dla konkretnej osoby treść udzielonej zgody. Informacje te będą bardzo przydatne działowi marketingu, który decydując się na zastosowanie nowego kanału czy treści komunikacji marketingowej będzie dokonywał oceny, do których osób może skierować swoje działania.

Wdrażając rejestr zgód należy zaplanować, czy informacje będą do niego wprowadzane ręcznie, czy też będzie się on automatycznie synchronizował z systemami IT, wykorzystywanymi do zbierania zgód. Warto rozważyć synchronizacje rejestru zgód ze stosowanymi przez firmę narzędziami typu marketing automation, dzięki czemu aplikacja wysyłająca mailing (np. GetResponse) przed wysłanie mailingu zweryfikuje w rejestrze czy wszyscy adresaci mają aktualne, ważnie wyrażone zgody.

 

Skuteczna i terminowa realizacja żądań podmiotów danych opiera się na dwóch filarach. Jednym z nich jest procedura, która precyzyjnie określa zadania, role osób oraz terminy realizacji dla poszczególnych kroków. Drugim filarem są systemy IT, które odpowiednio rozwinięte, będą usprawniały i automatyzowały realizację żądań. Rozwiązania IT, jak na przykład elektroniczny rejestracji zgód lub interaktywny formularz zgłaszania żądań, mogą dodatkowo stanowić wsparcie procesu realizacji praw przez administratora.

Niebawem minie rok od rozpoczęcia stosowania RODO, administratorzy i procesorzy planują lub już realizują kontrole zgodności wdrożonych rozwiązań z RODO. Warto objąć kontrolą proces realizacji żądań – przyjrzeć się dotychczasowej metodzie ich realizacji, zidentyfikować trudności, wdrożyć zmiany i usprawnienia, by jak najlepiej odpowiadać wymaganiom, jakie stawiają przed administratorami przepisy RODO.

 

Realizacja praw podmiotów danych w praktyce – część II

Realizacja żądań z perspektywy systemu IT

Realizacja praw podmiotów danych przysługujących im na gruncie RODO, w zdecydowanej większości przypadków wymaga zaangażowania obszaru IT. Nie istnieje lista wymaganych funkcjonalności (i zabezpieczeń) jakie powinien posiadać system informatyczny, aby był zgodny z RODO. Dlatego jednym z kluczowych etapów wdrożenia RODO jest dostosowanie systemów IT do nowych przepisów w zależności od potrzeb wykorzystania tych systemów.

Część administratorów podjęła się przystosowania systemów samodzielnie, wykonując prace rozwojowe (np. dodając do systemu możliwość wygenerowania raportu z kopią danych z poziomu użytkownika), albo inwestując niemałe kwoty w zlecenie dostawcy systemu wdrożenie odpowiednich zmian. Inni administratorzy postanowili obserwować ilość oraz typy zgłaszanych żądań i realizować je posiłkując się rozwiązaniami „prowizorycznymi” np.  eksportem z bazy danych do pliku o formacie CSV. Każde z tych rozwiązań może być poprawne. W przypadku organizacji, których charakterystyka działalności generuje potencjał dla masowych żądań, warto zainwestować w automatyzację obsługi procesu realizacji żądań (np. poprzez umieszczenie na poziomie interfejsu klienta kilku typów wniosków do wyboru). Zapewni to efektywną, niegenerującą kosztów pracy i terminową obsługę żądań.

Niezależnie od przyjętego sposobu realizacji żądań, przed administratorem danych i jego zespołem IT pozostaje wiele decyzji do podjęcia. O ile żądanie sprostowania czy nawet usunięcia danych nie będzie nastręczało wielu problemów, o tyle żądania otrzymania kopii danych, czy pliku do przeniesienia już tak. Wskazanie formatu pliku czy nośnika, na jakim przekażemy osobie informacje, będzie najprostszą kwestią. Przetwarzając dane w złożonych relacyjnych bazach danych, ilość informacji jaką jesteśmy w stanie połączyć z konkretną osobą jest ogromna. Konieczne jest dokonanie przeglądu tych informacji, wyselekcjonowanie informacji, które nie będą stanowiły danych osobowych i podjęcie decyzji, które informacje powinny ostatecznie znaleźć się w przekazywanym podmiotowi danych pliku. Przykładowo – czy przypisaną do każdego klienta w systemie finansowym informację o terminie płatności lub sposobie przekazania faktury, uznamy za kategorię danych osobowych i włączymy ją do pliku?

Plik do przeniesienie danych nie musi być przejrzysty i zrozumiały dla podmiotu danych, jego format ma przede wszystkim umożliwiać importowanie danych do bazy innego administratora. Kopia danych już zdecydowanie powinna być przejrzysta i zrozumiała. Tworząc kopię danych, korzystając z informacji pochodzących wprost z bazy danych, administratorzy mogą się szybko przekonać, że konieczne jest zaimplementowanie odpowiedniej funkcjonalności w systemie. Jakie mogą być tego powody?

  • Nazwy pól informacyjnych prezentowane z poziomu bazy danych mogą być w dużej mierze niezrozumiałe dla podmiotu danych. Dla zobrazowania problemu kilka oznaczeń pól stosowanych w systemie Płatnik: PRDOEM – prawo do emerytury, IMIEPIERW – pierwsze imię ubezpieczonego, IV_2_SSKLUBR – suma kwot składek na ubezpieczenia rentowe.
  • Nazwy pól informacyjnych mogą być napisane w języku innym niż posługuje się podmiot danych, w praktyce jest to najczęściej angielski. Czy taką kopię danych przekazaną przez polskiego administratora polskiemu podmiotowi danych można uznać za zrozumiałą? Nie.

 

Rejestr żądań podmiotów danych

Dla spełnienia wymagania rozliczalności nałożonego przez RODO, większość administratorów i procesorów prowadzi rejestry realizacji żądań podmiotów danych. W rejestrze powinny znaleźć się dane podmiotu danych (np. imię, nazwisko, telefon, adres, e-mail), treść lub określenie typu żądania (usunięcie, sprzeciw, itp.), data i kanał komunikacji jakim wpłynęło żądanie, data i sposób zrealizowania żądania. Przydatne mogą okazać się również:

  • oznaczenie kategorii podmiotu danych;
  • oznaczenie systemu czy bazy, w której dane są przetwarzane;
  • wskazanie osoby w organizacji, która realizuje żądanie w bazie;
  • data przekazania żądania procesorowi;
  • wskazanie danych, które posłużyły weryfikacji tożsamości podmiotu danych.

 

Praktyczne problemy realizacji żądań

Z perspektywy niemal roku od wejścia w życie RODO, okazuje się, że bardzo często trudności w realizacji żądań są bardziej prozaiczne niż brak funkcjonalności w systemie IT. Około 30% żądań zawiera braki uniemożliwiające realizację żądania.

W większości przypadków podmioty danych nie posługują się w treści żądań nomenklaturą RODO lub mylą pojęcia. W efekcie z treści żądania nie wynika czego oczekuje podmiot danych. Żąda usunięcia danych? Zgłasza sprzeciw na nasze działania marketingowe? A może jednak wycofuje zgodę na przetwarzanie danych? Administrator danych może próbować skontaktować się podmiotem danych celem doprecyzowania żądania lub samodzielnie podjąć decyzję o zakwalifikowaniu żądania do określonego typu. Może zdarzyć się również, że mimo precyzyjnego zdefiniowania żądania przez podmiot danych, administrator zakwalifikuje je jako inne. Przykładem może być żądanie zaprzestanie przetwarzania danych w celach marketingowych od konsumenta, którego dane są przetwarzane w bazie marketingowej. W takim przypadku większość administratorów podejmie decyzję o usunięciu danych konsumenta z bazy, gdyż przy takim jej charakterze utrzymanie rekordu, którego nie można wykorzystać w celu marketingowym, jest bezcelowe.

Bardzo często żądania nie zawierają wystarczającej ilości informacji o podmiocie danych, aby administrator był w stanie go zidentyfikować czy zweryfikować. Na przykład – korzystając z adresu mailowego wskazanego do kontaktu z Inspektorem Ochrony Danych, podmiot danych wysyła żądanie nie podając swojego imienia i nazwiska. Jedyną daną osobową podaną w treści żądania jest adres mailowy, natomiast administrator przetwarza w bazie jedynie imię, nazwisko, adres zamieszkania i telefon. Zdarzają się również zgłoszenia telefonicznie z ukrytego numeru, gdzie osoba odmawia podania jakichkolwiek informacji o sobie, żądając jednocześnie usunięcia jej danych osobowych.

W obu przypadkach opisanych powyżej, metodą na rozwiązanie problemu jest skontaktowanie się z podmiotem danych w celu uzupełnienia danych, wyjaśnienia przedmiotu żądania czy weryfikacji tożsamości podmiotu danych.  Niestety, zadanie to okazuje się być niezwykle trudne do wykonania, gdyż reakcja osób jest zwykle emocjonalna, zdarza się, że odmawiają udzielania informacji, czy też nie reagują na mailowe prośby o uzupełnienie danych. W takich przypadkach, po stronie administratora istotne jest zachowanie np. historii korespondencji mailowej, na wypadek złożenia przez podmiot danych skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Częstą przyczyną skarg do PUODO są niezrealizowane przez administratora żądania usunięcia danych. Zdarza się, że żądania usunięcia danych są realizowane jedynie częściowo, z uwagi na ograniczenia prawne. Przykładowo żądanie usunięcia danych wniesione przez klienta, który dokonał zakupu w sklepie internetowym 3 lata temu, zostanie zrealizowane tylko w zakresie jego profilu użytkownika w sklepie, czy listy subskrypcyjnej newslettera. Dane w dokumentacji księgowej będą wciąż przetwarzane przez administratora ze względu na ciążące na nim obowiązki rachunkowe. Przeciętny „Kowalski” nie rozumie tej konstrukcji, zwłaszcza w towarzystwie komunikatów medialnych mówiących, że RODO zapewnia mu prawo do bycia zapomnianym i jego dane zostaną całkowicie usunięte na jego żądanie.